Java模糊查询(Mybatis模糊查询相关,xml),防止sql注入
编译过程:
#{} 是 占位符 :动态解析 -> 预编译 -> 执行
${} 是 拼接符 :动态解析 -> 编译 -> 执行
#{}对应的变量会自动加上单引号
${} 对应的变量不会加上单引号
分析总结:
1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为 ?,然后调用
PreparedStatement的set方法来赋值。#将传入的数据都当成一个字符串,会对自动
传入的数据加一个引号。,使用占位符的方式提高效率,可以防止sql注入。
如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username=“111”, 如果传入的值是id,则解析成的sql为where username=“id”.
2、$ 将传入的数据直接显示拼接在sql中。
正常情况示例:
如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;
sql注入示例:
1.如果传入的值是 ;drop table user; ,
则解析成的sql为:select id, username, password, role from user where username=;drop table user;
执行完,表没了,直接裂开;
2.又或者传 shit or 1 = 1,这样就会变成:select id, username, password, role from user where username = shit or 1 = 1,相当于直接查全表,where后的条件相当于没有了!
3、#方式能够很大程度防止sql注入,$方式无法防止Sql注入。
4、$方式一般用于传入数据库对象,例如传入表名.
5、一般能用#的就别用$,若不得不使用 “ $ {xxx} ”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
6、在MyBatis中,"$ {xxx}" 这样格式的参数会直接参与SQL编译,从而不能避免注入
攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。所以,这样的
参数需要我们在代码中手工进行处理来防止注入。
普通的 ${} 替换为 #{} 比较简单,下面给个模糊查询的示例:
1.${} 写法实现模糊查询:
<select id="queryExample_01" resultMap = "userMap" >
select id, nickname, email, password, create_time, phone_number
from ex_user
where nickname like '%${nickname}%'
</select>
2.#{} 安全的实现模糊查询:
<select id="queryExample_02" resultMap = "userMap" >
select id, nickname, email, password, create_time, phone_number
from ex_user
where nickname like concat('%',#{nickname},'%')
</select>
说明:
既能够解决sql注入又能在xml配置文件中写%的实现,可以借助mysql的 concat() 函数;上面这个示例是全模糊查询,另外,想左模糊查询,就把右边 逗号引号百分号 去掉,想右模糊查询,就把左边 引号百分号逗号 去掉;
友情链接:sql注入相关